Benutzungsrichtlinie für IT- Endgeräte an der WU

Transkript

1 Benutzungsrichtlinie für IT- Endgeräte an der WU Zur Erreichung der Geschäftsziele und zur Erfüllung der Aufgaben der Wirtschaftsuniversität Wien (WU) ist Information, und damit verbunden der Einsatz von Informationstechnologien (IT), unerlässlich. Zweck dieser Richtlinie ist es, Regelungen für die Nutzung von IT-Endgeräten zu treffen. Version: Klassifikation: Öffentlich Inhalt 1 Zweck und Inhalt Geltungsbereich Begriffsbestimmungen Bedrohungsszenarien Regelungen Allgemeine Regeln für alle Mitarbeiter/innen der WU und WU-naher Organisationen Besondere Regeln für Mitarbeiter/innen in Einrichtungen für Lehre und/oder Forschung Besondere Regeln für Mitarbeiter/innen im Dienstleistungsbereich Besondere Regeln für Mitarbeiter/innen in WU-nahen Organisationen Regeln für Studierende und sonstige Endbenutzer/innen (Dritte) Meldung von Sicherheitsvorfällen und -mängeln Folgen der Nichteinhaltung Ausnahmen von dieser Richtlinie BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX

2 1 Zweck und Inhalt Zur Erreichung der Geschäftsziele und zur Erfüllung der Aufgaben der Wirtschaftsuniversität Wien (WU) ist Information, und damit verbunden der Einsatz von Informationstechnologien (IT), unerlässlich. Zweck dieser Richtlinie ist es, Regelungen für die Nutzung von IT-Endgeräten zu treffen. Die in ihr enthaltenen Regelungen sind im Kontext der Netzwerk Anschluss- und Verbindungsrichtlinie der WU zu verstehen. Die Regelungen in diesem Dokument verstehen sich als Maßnahme zur Schaffung eines verlässlichen Rahmens. Sie erheben nicht den Anspruch auf Vollständigkeit und werden auf anderen Wegen ergänzt und konkretisiert, beispielsweise über anlassbezogene Dienstanweisungen. Die Regelungen sind das Ergebnis von Risikoanalysen zu jedem einzelnen der weiter unten formulierten Regelungspunkte. Nicht in diesem Dokument enthalten sind Begründungen zu den einzelnen Regelungen: Die darin enthaltenen Regelungen werden im Rahmen von Schulungen und Sensibilisierungsaktivitäten kommuniziert und dabei so aufbereitet, dass ihre Hintergründe verständlich und nachvollziehbar sind. 2 Geltungsbereich Diese Richtlinie gilt verpflichtend für alle Mitarbeiter/innen im Dienstleistungsbereich, in Einrichtungen für Lehre und/oder Forschung, sofern sie im Eigentum der WU befindliche IT-Endgeräte nutzen 1, bzw. sofern diese Mitarbeiter/innen IT-Endgeräte, die nicht im Eigentum der WU stehen 2, an das Netzwerk der WU anschließen bzw. sich damit verbinden, für Personen, die in WU-nahen Organisationen tätig sind und IT-Endgeräte an das Netzwerk der WU anschließen bzw. sich damit verbinden oder im Eigentum der WU befindliche IT-Endgeräte nutzen 3, für alle Studierenden der WU, die IT-Endgeräte an das Netzwerk der WU anschließen bzw. sich damit verbinden oder im Eigentum der WU befindliche IT-Endgeräte 4 nutzen, sowie für Dritte, die IT-Endgeräte an das Netzwerk der WU anschließen bzw. sich damit verbinden. Sie umfasst alle IT-Endgeräte, die an die IT-Infrastruktur der WU angeschlossen oder mit dieser über LAN, WLAN, WWAN, Modem, VPN etc. fernverbunden werden. Mitarbeiter/innen, Studierende und Personen, die in WU-nahen Organisationen tätig sind, sind regelmäßig und nachvollziehbar zur Einhaltung dieser Richtlinie zu verpflichten. Dritte sind in den jeweils relevanten Punkten zu verpflichten Z.B. Mitarbeiter/innen der Service-Einrichtungen, Mitarbeiter der Departments, Forschungsinstitute, Kompetenzzentren und WU-Executive Academy. Z.B. an Mitarbeiter/innen durch die WU verkaufte Altgeräte, aus Sponsorgeldern finanzierte Geräte, Privatgeräte. Z.B. assoziierte Vereine, ÖH, WU-Alumni-Club. Z.B. Bytebar-, Schulungs- und Studierendenarbeitplatzgeräte, Geräte in Sprachlernzentrum und Bibliothek sowie sonstige öffentlich zugängliche IT-Endgeräte im Eigentum der WU. Z.B. mittels Vertraulichkeitsvereinbarungen, Zustimmungserklärungen oder Ähnlichem. BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 2 VON 11

3 Darüber hinaus gilt diese Richtlinie ohne zeitliche und örtliche Einschränkungen. 3 Begriffsbestimmungen Im Kontext dieses Dokuments werden Begriffe wie folgt definiert: IT-SERVICES Unter IT-SERVICES wird jene Organisationseinheit der WU verstanden, in deren Aufgabenbereich die Planung, Schaffung und Gewährleistung einer leistungsfähigen, sicheren und verfügbaren Kommunikations- und Rechnerinfrastruktur für die Informationsverarbeitung der Universitätseinrichtungen der WU fällt. IT-Endbenutzer Personen, die aus dem in dieser Richtlinie definierten Geltungsbereich stammen und eines der unten definierten IT-Endgeräte und damit in Verbindung stehende (mobile) Datenträger oder IT- Peripheriegeräte nutzen. IT-Arbeitsmittel Unter IT-Arbeitsmitteln werden verstanden: Hardware, d.h. IT-Endgeräte, IT-Peripheriegeräte, IT- Zubehör, Datenträger etc. sowie Software auf den IT-Geräten, außerdem Geräte wie Telefonapparate, Funkgeräte, Mobiltelefone, Presenter etc. IT-Endgerät Standgeräte (Desktops), tragbare Geräte (Notebooks, Tablet PCs, Tablets etc.), netzwerkfähige Kleingeräte (Smartphones, Mobiltelefone, Navigationsgeräte, Datenerfassungsgeräte, VoIP- Telefone etc.), Endgeräte bei Gerätesteuerungen sowie Multifunktionsgeräte (Kombifaxe, Druck(Fax)stationen etc.); außerdem Arbeitsplatzdrucker, Scanner und ähnliche Geräte, die keine Benutzerdaten oder sonstige schutzbedürftige Daten halten (so genannte IT-Peripheriegeräte). Mobiler Datenträger Speichersticks (USB-Sticks), Speicherkarten aller Art (auch in Multimedia-Abspielgeräten, in Kameras etc.), mobile Festplatten (z.b. magnetisch und flashspeicher-basiert), CDs, DVDs, Disketten, Magnetbänder und ähnliche Speichermedien. Passwort Als Passwort wird eine Zeichenfolge aus Buchstaben, Ziffern und/oder Sonderzeichen bezeichnet, die die Überprüfung einer Identität möglich macht. Die Begriffe Kennwort, Schlüsselwort oder Password werden als Synonyme für Passwort verwendet. Initial-Passwort Als Initial-Passwort wird ein Passwort bezeichnet, das einmalig für einen Account gesetzt wird. BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 3 VON 11

4 Vertrauliche Daten/Informationen Als vertraulich werden Daten und Informationen verstanden, die von der WU für einen geschlossenen, relativ eng gefassten Benutzerkreis vorgesehen sind und so eingestuft wurden bzw. aufgrund gesetzlicher Vorgaben oder vertraglicher Vereinbarungen zu schützen sind. Freigegebene Hardware und Software Darunter werden IT-Endgeräte, IT-Peripheriegeräte, mobile Datenträger, Betriebssysteme, Anwendungen etc. verstanden, die bestimmten, von der WU festgelegten Kriterien entsprechen. 4 Bedrohungsszenarien Als Bedrohungsszenarien werden angenommen: Einbringung und Verbreitung von Viren, Würmern, Trojanern und anderen Formen von schädlicher Software im Netzwerk der WU, Massenverlust von Daten durch z.b. Verschlüsselungstrojaner, Angriffe aus jeglichen Netzen (extern, aber auch intern) auf Infrastruktur, Systeme, Sicherheitskomponenten, Anwendungen und Daten der WU, Manipulation oder Verlust vertraulicher Informationen 6 und daraus resultierende Gesetzesübertretungen, Missbrauch des WU-Netzwerks für unlautere oder rechtswidrige Zwecke und daraus resultierende Rechtsfolgen und Haftungsansprüche Dritter, Exzessive Nutzung von Ressourcen für private Zwecke, besonders für Multimediainhalte und damit verbundene Beeinträchtigung anderer Benutzer/innen bei deren Arbeit, Verursachung von Schäden durch Unwissenheit, Nachlässigkeit und Sorglosigkeit einzelner Benutzer/innen, Beeinträchtigung der Verfügbarkeit der Netzwerk- und damit Serverinfrastruktur aufgrund von Sicherheitsverletzungen bzw. von Maßnahmen zu deren Behebung, Verlust, Diebstahl, Unterschlagung und Raub von IT-Endgeräten und Datenträgern aller Art, Schädigung des Images der WU als Bildungs- und Forschungsstätte mit höchsten Qualitätsansprüchen. 6 Z.B. Geschäfts- und Betriebsgeheimnisse, personenbezogene Daten. BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 4 VON 11

5 5 Regelungen 5.1 Allgemeine Regeln für alle Mitarbeiter/innen der WU und WU-naher Organisationen Folgende Regelungen gelten für alle Mitarbeiter/innen der WU und WU-naher Organisationen: Die allgemeinen Regeln der Netzwerk Anschluss- und Verbindungsrichtlinie der WU (Kapitel 6). Darüber hinaus gelten folgende Regeln: Die Benutzung der IT und IT-Services der WU ist an eine entsprechende Benutzungsbewilligung gebunden. Diese kann im Fall von missbräuchlicher Verwendung entzogen werden. Die Benutzung von Räumlichkeiten mit Zutrittskontrolle an der WU ist an eine entsprechende Zutrittsberechtigung gebunden. Diese kann z.b. im Fall von Verstößen gegen die Hausordnung oder gegen die IT-Systemraum-Richtlinie entzogen werden. Die Weitergabe von Berechtigungen wie Zutrittskarten, Ausweisen, Passwörtern, PIN-Codes etc. ist verboten. Bei Vergessen oder Verlust der Zutrittskarte ist vom Karteninhaber/von der Karteninhaberin die für ihn zuständige Abteilung zu verständigen. Bei Beendigung des Dienstverhältnisses bzw. eines Vertragsverhältnisses sind im Eigentum der WU stehende IT-Endgeräte und Datenträger an den jeweiligen Vorgesetzten/die jeweilige Vorgesetzte bzw. Ansprechpartner/in der WU zu retournieren. Folgende Inhalte dürfen weder erzeugt oder verbreitet noch gespeichert werden bzw. darf auf solche auch nicht aktiv zugegriffen werden: Inhalte, die gegenüber anderen herabwürdigend sind, die pornographischer Natur sind, die Intoleranz gegenüber anderen propagieren, die gesetzeswidrige Aktivitäten befürworten, und sonstige Inhalte, die im allgemeinen als sittenwidrig verstanden werden. Die Verwendung der IT-Infrastruktur der WU für gesetzes-, vertrags- oder regelwidrige Aktivitäten gegen Personen, IT-Systeme und Netzwerkkomponenten oder darauf betriebene Dienste ist nicht erlaubt. Ebenso die vorsätzliche Störung von IT-Diensten und der ihnen zugrunde liegenden IT- Infrastruktur der WU. Der Einsatz von Soft- und Hardware und sonstigen Mitteln, deren Zweck es ist, Informationen unbefugt auszuspähen, ist untersagt. Die exzessive Nutzung von Server-Speicherplatz für private Zwecke ist untersagt. 7 Private Daten auf Geräten, die sich im Eigentum der WU befinden, sind auf Aufforderung durch IT- SERVICES von der Person, die diese Daten dort gespeichert hat, zu löschen Z.B. Bilder, Video- und Audiodateien, Datensicherungen etc. Beispiele: wenn der/die Mitarbeiter/in (1) exzessiv beabsichtigt oder unbeabsichtigt - Speicherplatz privat nützt. (2) ihm/ihr von der WU zur Verfügung gestelltes Gerät z.b. wegen eines Defekts IT-Services zur Reparatur gibt und sichergestellt werden soll, dass private Daten im Zuge von bestimmten zu ergreifenden Repara- BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 5 VON 11

6 Das Verbreiten oder die öffentliche Zurverfügungstellung von urheberrechtlich geschützten Inhalten ohne Zustimmung des Verwertungsberechtigten ist verboten. Das Neustarten (Booten) von öffentlich zugänglichen IT-Endgeräten über externe Datenträger ist untersagt. Die Viren-Signaturen sind aktuell zu halten und bei Aufbau einer Netzwerkverbindung zur WU vor deren weiterer Nutzung zu aktualisieren. Der Virenscanner darf nicht deaktiviert werden. Das Boot-Passwort auf Notebooks ist zu aktivieren. IT-SERVICES verwaltet ein entsprechendes Supervisor-Passwort. Der passwortgeschützte Bildschirmschoner ist so einzustellen, dass eine Aktivierung nach spätestens 15 Minuten erfolgt. Der passwortgeschützte Bildschirmschoner ist bei Verlassen des Arbeitsplatzes manuell zu aktivieren. Der Bildschirmschoner darf nicht deaktiviert werden. Das Verschleiern der eigenen Identität im Rahmen der Internet- und -Nutzung ist verboten. Urheberrechte sind zu wahren und Lizenzbestimmungen sind einzuhalten. Es ist verboten, IT-bezogene Sicherheitsrisiken bewusst in Kauf zu nehmen. Im Zweifelfall ist eine Abstimmung mit IT-SERVICES zu suchen. Erlaubt ist nur der Einsatz genehmigter Internet-Dienste. Die Installation sicherheitsgefährdender Programme ist untersagt. Das automatische Weiterleiten von s an externe -Adressen ist verboten. Das unverschlüsselte Weiterleiten vertraulicher s an externe -Adressen ist verboten. 9 Erkennbar sicherheitsrelevante Einstellungen dürfen vom Endbenutzer/von der Endbenutzerin nicht geändert werden. Die bestehenden Passwortregeln sind einzuhalten. Das Betriebssystem und die installierten Anwendungen sind in Bezug auf Sicherheits-Updates aktuell zu halten. Auf IT-Endgeräten mit Rechtetrennung darf, außer zu Wartungszwecken, nicht als Benutzer mit Administrator- oder Root-Rechten gearbeitet werden turmaßnahmen nicht gelöscht werden bzw. im Zuge der Reparatur nicht eingesehen werden können. (3) ein Leihgerät IT- Services zurückgibt, um zu verhindern, dass private Daten eingesehen werden können. Eine entsprechende Lösung ( -Vollverschlüsselung) ist zum Zeitpunkt des Inkrafttretens dieser Richtlinie noch nicht realisiert. Siehe jedoch Kapitel 7 Anleitung zum Umgang mit klassifizierten Daten und Informationen in der Richtlinie der WU zur Klassifizierung von Daten in Bezug auf Vertraulichkeit. Wartungszweck bedeutet: Konfigurationsänderung, Einspielen von Updates und Patches, Software- Installation, Neu-Installation etc. BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 6 VON 11

7 Die automatische Installation von Sicherheits-Updates darf nicht eingeschränkt oder verhindert werden. Die bestehenden allgemeinen Regelungen zur Datenverschlüsselung sind einzuhalten. 11 Die Übertragung von vertraulichen Daten auf mobile Datenträger darf nur erfolgen, wenn diese dort verschlüsselt abgelegt werden. Notebooks sind, wann immer möglich, mit einem Kabelschloss an einem festen Gegenstand anzuschließen, wenn diese nicht anders physisch gegen Wegnahme gesichert werden können. Ein Kabelschloss ist jedem neu ausgelieferten Notebook beigelegt. Weitere Kabelschlösser können über IT-SERVICES bezogen werden. Tablets, Smartphones, Mobiltelefone und andere Kleingeräte, die sich im Eigentum der WU befinden sind, wann immer möglich, in einem absperrbaren Behältnis (Kasten, Lade etc.) zu verwahren bzw. persönlich in Verwahrung zu, wenn diese nicht anders physisch gegen Wegnahme gesichert werden können. Bei der leihweisen Nutzung von IT und AV-Geräten ist folgendes zu beachten: Angabe der Daten des Ausleihenden, schonender Umgang mit den Geräten und Meldung von defekten Geräten spätestens bei der Rückgabe und Rückgabe der Geräte am vereinbarten Rückgabeort und zur vereinbarten Zeit. Wenn dies nicht möglich ist, eigene sichere Verwahrung und Rückgabe zum frühestmöglichen Zeitpunkt. Die Verantwortung für die genutzten Geräte liegt während der Verleihdauer bei der ausleihenden Person. Für die Sicherung von Daten auf IT-Endgeräten ist der jeweilige Dateneigentümer/die jeweilige Dateneigentümerin verantwortlich. IT-SERVICES stellt zur Sicherung von Daten zentralen Speicherplatz und entsprechende Sicherungsmöglichkeiten für dienstliche Daten zur Verfügung. Die WU übernimmt jedoch keine Haftung für die erfolgreiche Sicherung dieser Daten. Für Projekte, die eine erhöhte Datensicherheit erfordern, können mit IT-SERVICES nach Maßgabe verfügbarer Ressourcen besondere Regelungen zur Datensicherung vereinbart werden. Dies gilt insbesondere für die Datensicherung und Archivierung zentraler Datenbanken und Datenbestände von Dienstleistungseinrichtungen. 5.2 Besondere Regeln für Mitarbeiter/innen in Einrichtungen für Lehre und/oder Forschung Die Sicherheit von in diesen Bereichen angeschlossenen IT-Endgeräten obliegt der Verantwortung des Leiters/der Leiterin der Einrichtung für Lehre und/oder Forschung und kann von diesem/von dieser innerhalb der Organisationseinheit delegiert werden (dezentrale IT-Sicherheitsbeauftragte). 11 Die entsprechenden IT-Sicherheitsstandards sind zum Zeitpunkt des Inkrafttretens dieser Richtlinie noch nicht vollständig dokumentiert. Ab dem Zeitpunkt der Fertigstellung und Verlautbarung treten diese Regelungen automatisch in Kraft. BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 7 VON 11

8 Folgende Regelungen gelten für alle Endbenutzer/innen: Die allgemeinen Regeln (Kapitel 5.1) dieser Richtlinie und die besonderen Regeln für den Dienstleistungsbereich/Bereich für Lehre und/oder Forschung aus der Netzwerk Anschluss- und Verbindungsrichtlinie der WU (Kapitel 7). Darüber hinaus gelten folgende Regeln: Die private Nutzung von Netzwerkressourcen und von IT-Endgeräten im Eigentum der WU ist durch die Richtlinie über den Umgang mit Daten von Mitarbeiter/n/innen der WU geregelt. Nicht im Eigentum der WU stehende IT-Endgeräte dürfen nur dann an das Netzwerk angeschlossen werden, wenn sie den Mindestsicherheitsstandards der entsprechenden WU-eigenen Geräte entsprechen. Auf Internet-Seiten, deren Inhalte eine Sicherheitsgefährdung offensichtlich vermuten lassen, darf aktiv nicht zugegriffen werden. (Hacker-Seiten etc.). 5.3 Besondere Regeln für Mitarbeiter/innen im Dienstleistungsbereich Die Sicherheit von in diesen Bereichen angeschlossenen IT-Endgeräten obliegt der Verantwortung des jeweiligen Mitglieds des Rektorats (Rektor/in, Vizerektor/in) und kann von diesem delegiert werden (dezentrale IT-Sicherheitsbeauftragte). Folgende Regelungen gelten für alle Endbenutzer/innen: Die allgemeinen Regeln (Kapitel 5.1) dieser Richtlinie und die besonderen Regeln für den internen Verwaltungsbereich aus der Netzwerk Anschlussund Verbindungsrichtlinie (Kapitel 8). Darüber hinaus gelten folgende Regeln: Die private Nutzung von Netzwerkressourcen und von IT-Endgeräten im Eigentum der WU ist durch die Richtlinie über den Umgang mit Daten von Mitarbeiter/n/innen der WU geregelt. Auf Internet-Seiten, deren Inhalte eine Sicherheitsgefährdung offensichtlich vermuten lassen, darf aktiv nicht zugegriffen werden. (Hacker-Seiten etc.) Ausgenommen davon sind Mitarbeiter von IT- SERVICES. Administrator- oder Root-Rechte dürfen an Mitarbeiter/innen im Dienstleistungsbereich, ausgenommen ist IT-SERVICES, nicht vergeben werden. Peer-to-Peer File-Sharing ist nicht zulässig. 5.4 Besondere Regeln für Mitarbeiter/innen in WU-nahen Organisationen Die Sicherheit jedes an diesen Bereich angeschlossenen IT-Endgerätes obliegt der Verantwortung des Leiters/der Leiterin der WU-nahen Organisation und kann von diesem/von dieser innerhalb der Organisationseinheit delegiert werden (dezentrale IT-Sicherheitsbeauftragte). BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 8 VON 11

9 Folgende Regelungen gelten für alle Endbenutzer/innen: Die allgemeinen Regeln (Kapitel 5.1) dieser Richtlinie und die besonderen Regeln für den Dienstleistungsbereich/Bereich für Lehre und/oder Forschung aus der Netzwerk Anschluss- und Verbindungsrichtlinie der WU (Kapitel 7). Darüber hinaus gelten folgende Regeln: Nicht im Eigentum der WU stehende IT-Endgeräte dürfen nur dann an das Netzwerk angeschlossen werden, wenn sie den Mindestsicherheitsstandards der entsprechenden WU-eigenen Geräte entsprechen. Auf Internet-Seiten, deren Inhalte eine Sicherheitsgefährdung offensichtlich vermuten lassen, darf aktiv nicht zugegriffen werden (Hacker-Seiten etc.). 5.5 Regeln für Studierende und sonstige Endbenutzer/innen (Dritte) Die Sicherheit eines angeschlossenen, nicht im Eigentum der WU stehenden IT-Endgeräts obliegt der Eigenverantwortung des Benutzers/der Benutzerin. Die Benutzung der IT und IT-Services der WU ist an eine entsprechende Benutzungsbewilligung gebunden. Diese kann im Fall von missbräuchlicher Verwendung entzogen werden. Die Benutzung von Räumlichkeiten mit Zutrittskontrolle an der WU ist an eine entsprechende Zutrittsberechtigung gebunden. Diese kann z.b. im Fall von Verstößen gegen die Hausordnung oder gegen die IT-Systemraum-Richtlinie entzogen werden. Die Weitergabe von Berechtigungen wie Zutrittskarten, Ausweisen, Passwörtern, PIN-Codes etc. ist verboten. Bei Vergessen oder Verlust der Zutrittskarte ist vom Karteninhaber/von der Karteninhaberin die für ihn zuständige Abteilung zu verständigen. Bei Beendigung des Dienstverhältnisses bzw. eines Vertragsverhältnisses sind im Eigentum der WU stehende IT-Endgeräte an den jeweiligen Vorgesetzten/die jeweilige Vorgesetzte bzw. Ansprechpartner/in der WU zu retournieren. Folgende Inhalte dürfen weder erzeugt oder verbreitet noch gespeichert werden bzw. darf auf solche auch nicht aktiv zugegriffen werden: Inhalte, die gegenüber anderen herabwürdigend sind, die pornographischer Natur sind, die Intoleranz gegenüber anderen propagieren, die gesetzeswidrige Aktivitäten befürworten, und sonstige Inhalte, die im allgemeinen als sittenwidrig verstanden werden. Die Verwendung der IT-Infrastruktur der WU für gesetzes-, vertrags- oder regelwidrige Aktivitäten gegen Personen, IT-Systeme und Netzwerkkomponenten oder darauf betriebene Dienste ist nicht erlaubt. Ebenso die vorsätzliche Störung von IT-Diensten und der ihnen zugrunde liegenden IT- Infrastruktur der WU. Der Einsatz von Soft- und Hardware und sonstigen Mitteln, deren Zweck es ist, Informationen unbefugt auszuspähen, ist untersagt. BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 9 VON 11

10 Die exzessive Nutzung von Server-Speicherplatz für private Zwecke ist untersagt. In solchen Fällen sind private Daten auf Speichern, die sich im Eigentum der WU befinden, auf Aufforderung durch IT-SERVICES von der Person, die diese Daten dort gespeichert hat, zu löschen. 12 Das Verbreiten oder die öffentliche Zurverfügungstellung von urheberrechtlich geschützten Inhalten ohne Zustimmung des Verwertungsberechtigten ist verboten. Das Neustarten (Booten) von öffentlich zugänglichen IT-Endgeräten über externe Datenträger ist untersagt. Die Viren-Signaturen sind aktuell zu halten und bei Aufbau einer Netzwerkverbindung zur WU vor deren weiterer Nutzung zu aktualisieren. Der Virenscanner darf nicht deaktiviert werden. Private Daten auf Geräten, die sich im Eigentum der WU befinden, sind auf Aufforderung durch IT- SERVICES von der Person, die diese Daten dort gespeichert hat, zu löschen. 13 Bei der leihweisen Nutzung von IT und AV-Geräten ist folgendes zu beachten: Angabe der Daten des Ausleihenden, schonender Umgang mit den Geräten und Meldung von defekten Geräten spätestens bei der Rückgabe und Rückgabe der Geräte am vereinbarten Rückgabeort und zur vereinbarten Zeit. Wenn dies nicht möglich ist, eigene sichere Verwahrung und Rückgabe zum frühestmöglichen Zeitpunkt Die Verantwortung für die genutzten Geräte liegt während der Verleihdauer bei der ausleihenden Person. Für die Sicherung von Daten auf IT-Endgeräten ist der jeweilige Dateneigentümer/die jeweilige Dateneigentümerin verantwortlich. IT-SERVICES stellt zur Sicherung von Daten zentralen Speicherplatz und entsprechende Sicherungsmöglichkeiten für dienstliche Daten zur Verfügung. Die WU übernimmt jedoch keine Haftung für die erfolgreiche Sicherung dieser Daten. Für Projekte, die eine erhöhte Datensicherheit erfordern, können mit IT-SERVICES nach Maßgabe verfügbarer Ressourcen besondere Regelungen zur Datensicherung vereinbart werden. Dies gilt insbesondere für die Datensicherung und Archivierung zentraler Datenbanken und Datenbestände von Dienstleistungseinrichtungen. 6 Meldung von Sicherheitsvorfällen und -mängeln Alle Personen, die vom Geltungsbereich dieser Richtlinie umfasst sind, haben ihnen bekannt gewordene sicherheitsrelevante Vorfälle und Sicherheitsmängel umgehend an it-security@wu.ac.at zu melden. 7 Folgen der Nichteinhaltung Die Einhaltung von Regelungen und Sicherheitsmaßnahmen wird regelmäßig, aber auch anlassbezogen überprüft Z.B. Bilder, Video- und Audiodateien, Datensicherungen etc. Z.B. Bilder, Video- und Audiodateien, Datensicherungen etc. BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 10 VON 11

11 Eine Missachtung von Sicherheitsbestimmungen kann neben entsprechenden disziplinären und dienstrechtlichen auch zivil- und strafrechtliche Folgen nach sich ziehen. 8 Ausnahmen von dieser Richtlinie Es ist generell zunächst eine Vorgehensweise zu wählen, die den geltenden Richtlinien entspricht. Erst wenn dies technisch oder organisatorisch nicht möglich oder wirtschaftlich nicht zu vertreten ist, kann über eine Ausnahmeregelung entschieden werden. Ausnahmen müssen zeitlich begrenzt, auf Zweck und Benutzer/innen/kreis eingeschränkt, hinsichtlich Antrag, Genehmigung/Ablehnung, Änderungen und Auslaufen dokumentiert, kontrolliert und im Falle des Auslaufens ohne Neuantrag nach entsprechender Frist aufgehoben und im Falle der Nichtbeachtung einschlägiger Richtlinien der WU umgehend aufgehoben werden. Der Antrag zur Erteilung einer Ausnahme ist schriftlich und vorab zu stellen. Die aktuell gewährten Ausnahmen sind getrennt von dieser Richtlinie im Dokument Ausnahmen von Sicherheitsrichtlinien der WU vom InfoSec-Sicherheitskoordinator/von der InfoSec- Sicherheitskoordinatorin zu verwalten. Das Ausnahmenregister ist nicht öffentlich einsehbar zu machen. 14 Wien, am Vizerektorin für Finanzen und Infrastruktur DDr. Regina Prehofer 14 Einsichtsberechtigt sind das Rektorat, das InfoSec-Kernteam und IT-SERVICES. Im Anlassfall kann diese Kreis vom InfoSec-Sicherheitskoordinator/von der InfoSec-Sicherheitskoordinatorin entsprechend erweitert werden. BENUTZUNGSRICHTLINIE FÜR IT-ENDGERÄTE AN DER WU DOCX SEITE 11 VON 11